sql-injection

Digamos que tengo un código como este: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where use ... uso de sentencias preparadas contra la inyección SQL. En este contexto, no me importa XSS u otras posibles vulnerabilidades.

¿Cómo nos ayudan las declaraciones preparadas a prevenir los ataques de inyección SQL ? Wikipedia dice: Las sentenci ... se puede ocurrir. No puedo ver la razón muy bien. Lo que sería un simple explicación en inglés fácil y algunos ejemplos?

¿Hay una posibilidad de inyección SQL incluso cuando se utiliza la función mysql_real_escape_string()? Considere esta situa ... a' OR 1=1 -- No funcionan. ¿Sabe usted de cualquier posible inyección que podría llegar a través ¿el código PHP anterior?

Solo mirando: (Fuente: https://xkcd.com/327/) Qué hace este SQL: Robert'); DROP TABLE STUDENTS; -- Sé que tanto ' como -- son para comentarios, pero ¿no se comenta también la palabra DROP ya que es parte de la misma línea?

Estamos teniendo otra discusión aquí en el trabajo sobre el uso de consultas sql parametrizadas en nuestro código. Tenemos do ... tras nadie era capaz de romper el seguridad simple de la función SafeDBString Tengo muchos otros buenos argumentos. ¡Gracias!

Sé que PreparedStatements evita/previene la inyección SQL. ¿Cómo hace eso? ¿La consulta de formulario final que se construye usando PreparedStatements será una cadena o no?

Entiendo que NUNCA debe confiar en la entrada del usuario desde un formulario, principalmente debido a la posibilidad de inye ... </option> <option value="Small">Small</option> </select> <input type="submit"> </form>

Estoy tratando de poner un poco de inyección anti sql en su lugar en Java y me resulta muy difícil trabajar con la función de ... a función están haciendo que mis ojos se vuelvan locos. Si alguien resulta que tengo un ejemplo de esto, lo apreciaría mucho.

El día de hoy se hizo una pregunta con respecto a estrategias de validación de entrada en aplicaciones web. La respuesta sup ... tring. Mi pregunta es: ¿Es esto siempre suficiente? ¿Hay algo más que debamos saber? ¿Dónde se descomponen estas funciones?

Si es así, ¿por qué todavía hay tantas inyecciones SQL exitosas? ¿Solo porque algunos desarrolladores son demasiado tontos para usar declaraciones parametrizadas?

Soy muy nuevo en trabajar con bases de datos. Ahora puedo escribir SELECT, UPDATE, DELETE, y INSERT comandos. Pero he visto m ... de la inyección SQL, pero no lo entiendo completamente. Ni siquiera sé si la inyección SQL está relacionada con mi pregunta.

Para empezar, soy muy consciente de que las consultas parametrizadas son la mejor opción, pero me pregunto qué hace que la es ... r o una alternativa al uso de consultas parametrizadas, pero quiero saber cómo lo que he descrito es vulnerable. Alguna idea?

Acabo de heredar un proyecto porque el último desarrollador se fue. El proyecto está construido a partir de Code Igniter. ... gt;input->post('username')."'"); ¿code igniter desinfecta automáticamente estas consultas para evitar la inyección sql?

Si usted hace una búsqueda para: Http://www.google.co.uk/search?q=0x57414954464F522044454C4159202730303A30303A313527&hl ... ¿Qué es exactamente lo que está tratando de hacer? ¿En qué db está tratando de trabajar? ¿Sabe de algún aviso sobre esto?

¿Es posible prevenir las inyecciones SQL en el nodo.js (preferiblemente con un módulo) de la misma manera que PHP había Prep ... tion.query('INSERT INTO users SET ?', post, function(err, results) { // Can a Sql injection happen here? });

Tengo muchas entradas de usuario de $_GET y $_POST... Por el momento siempre escribo mysql_real_escape_string($_GET['var']).. ... ialchars($input, ENT_IGNORE, 'utf-8'); $input = strip_tags($input); $input = stripslashes($input); return $input; }

En PHP, sé que mysql_real_escape es mucho más seguro que usar addslashes. Sin embargo, no pude encontrar un ejemplo de una situación en la que addslashes permitiera que ocurriera una inyección SQL. ¿Puede alguien dar algunos ejemplos?

Esto es para crear un recurso de aprendizaje comunitario. El objetivo es tener ejemplos de buen código que no repitan los ... e funciones mysql_* es perfectamente segura si se usa correctamente. Así que no hay respuestas de "usar DOP" aquí, por favor.

Tengo una aplicación web construida sobre JSF con MySQL como base de datos. Ya he implementado el código para evitar CSRF en ... unes? Ya he revisado el sitio de OWASP y sus hojas de trucos . ¿Necesito ocuparme de otros vectores de ataque potenciales?

User es igual a untrustworthy. Nunca confíes en la entrada de un usuario poco confiable. Lo entiendo. Sin embargo, me pregunt ... peligrosos sin saberlo o accidentalmente. De cualquier manera, ¿qué método cree la gente que es el mejor, y por qué razones?